Често задавани въпроси

Или как да си останем скрити при мрежово сканиране.

Обикновенно подобни сканирания и събиране на информация предхождат фокусирана ( а и не до там фокусирана ) атака, затова прикриването на всяка информация, свързана с инфраструктурата, използвани операционни системи, версии на софтуер и т.н. може да е жизнено важна.

Както показах наскоро, с използването на nmap е доста лесно да бъде разпозната операционната система на дадена машина, вързана в мрежата. От другата страна на барикадата обаче стои въпросът “Как можем да се защитим от подобно сканиране?”. За да разберем отговора на този въпрос, трябва да разберем кои параметри следи nmap за да направи магията си. Ето от тази статия, в частта “Fingerprint methodology” може да се образовате. Накратко - следи се за отговори на някои пакети, които нарочно съдържат грешна информация, следи се начина на образуване на номера на пакета ( Sequence Number ), някои битове във хедъра на TCP пакета и други.

Начина да заблудим сканиращия, че всъщност оперционната система е различна от истинската е да променим някой от тези параметри. Така, при евентуална атака, използваните техники ще са насочени към съвсем различна ОС и съответно истинската ще бъде неуязвима за тях ( в идеалният случай ). Промяната на тези параметри под Windows може да стане чрез ровене в регистри, или ако свалите OSfuscate инструмента на Irongeek. С негова помощ ще накарате Windows да изглежда като BeOS, FreeBSD или дори IBM OS400 ( поне като представяне в мрежата ). Ако не се доверявате на подобни инструменти, ето тук ще намерите информация какво точно да промените за да наподобите някои от по-странните ОС-и.

Това разбира се няма да спре разпознаването на ОС чрез някой от другите инструменти - например Satori DHCP инструментите, и в абсолютно никакъв случай трябва да е единствената ви защита, но може да осигури малко спокойствие и малко допълнително време…

Един от основните инструменти при мрежово разузнаване е Nmap - софтуер за мрежово сканиране, разпознаване на операционни системи, портове и т.н.Също така това е единственият истински хакерски инструмент, показан във филм - ето как кака ви Тринити рути електроцентрала във втората Матрица:

Това е гениален инструмент с ужасно голямо количество опции. Дори и поразкрасената windows версия изисква поне основно познание на синтаксиса на командния ред. Затова нека да започнем с основите:

nmap <IP адрес>

Тази команда ще сканира целта с опциите по подразбиране - стандартни TCP connect заявки ( опция -sT ) и стандартните портове на услугите. Ако трябва да сканирате цяла мрежа, или част от нея имате възможност вместо адрес да зададете “мрежа/маска” ( например 192.168.1.0/24) или да използвате заместващи * ( например 192.168.1.* ) в горния синтаксис.

Прочетете цялата статия »

Много често хората се оплакват от лошото качество на безжичната си мрежа и сменят рутер след рутер, без това да има съществен ефект ( освен финансов ). Ето 10 простички съвета как драстично да повишим качеството на безжичната си връзка

1. Преместете рутера си в центъра на офиса/апартамента и/или го сложете високо.
2. Ако рутера ви го поддържа - сменете фърмуера му ( DD-WRT, Tomato, OpenWRT ). Този тип OS-ове имат огромно количество повече възможности за настройка и сложни мрежови еквилибристики. ( Можете да проверите дали рутера ви поддържа dd-wrt тук )
3. Избягвайта да слагате рутера си до метални предмети ( каси, хладилници и т.н. ). Метала отразява радиовълните и по този начин може значително да изкриви и намали качеството на връзката. Ако няма как да избегнете металният предмет, пробвайте да сложите рутера отгоре - това е най-добрата позиция.
4. Намалете интерференцията - изберете друг канал. Ако около вас има много безжични мрежи, проверете кой е най-неизползваният безжичен канал ( от 1 до 11 в зависимост от това за коя държава са драйверите ви ). Добра идея е да бягате поне на 2 канала отстояние от другите мрежи
5. Сложете по-добра антена - много производители предлагат допълнителни антени с по-добро усилване ( измервано в dBi ). Ако рутера ви се намира близо до геометричният център на къщата, то ви трябва ненасочена или omnidirectional антена. Ако обаче това не е така и сте залепили машинката до някоя стена, може би насочена антена ще е по-подходяща. Избягвайте антените с висока степен на насоченост, дори и обикновена панелна антена може да е полезна. Ако сте почитател на “направи си сам” подхода - ето филмче как да си модифицирате ненасочената антена сами. -
6. Ако компютъра ползва USB wireless адаптери - извадете го иззад компюътра с помоща на USB удължителен кабел или USB хъб. Същото важи и за bluetooth адаптери.
7. Използвайте устройства от една марка, когато е възможно. Въпреки, че всички производители ползват едни и същи стандарти, когато ползвате една марка, понякога има добавена функционалност ( например Turbo mode )
8. Увеличете мощността на рутера - лесно постижимо със споменатите в препоръка 2 фърмуери. Внимание: увеличената мощност води до по-голямо натоварване и нагряване. Ако сте затиснали рутера си някъде, без адекватен въздушен поток, това може да е фатално
9.Ако трябва да покриете голямо разстояние, или искате да подобрите обхвата на една безжична мрежа - можете да добавите безжичен репитър - специализирано устройство като Linksys Range Expander серията или рутер с DD-WRT ( казах ви за функционалността )
10. Ако ви трябва по-умно решение за по-голяма безжична мрежа, която да може да филтрира посетителите по MAC адрес на безжичната карта например, то решението е т.нар WDS¹ - система в която има един основен и множество спомагателни рутери. В цялата система може да се поддържа едно криптиране и пакетите запазват оригиналните си source MAC адреси. Необходимо е да се отбележи, че както репиера, така и WDS ефективно намаляват скоростта наполовина, така че не очаквайте чудеса

1. Wireless Distribution System [обратно ↩]

Двама шведи - Robert E. Lee и Jack Louis, работещи за Outpost24 са открили бъг в Berkeley Sockets, която позволява цял клас от уязвимости. Първоначално аномалиите са забелязани при работа със създаденият от двамата порт-скенер UnicornScan, но в последствие е разработен инструмента socketstress, който използва бъга и създава denial-of-service атака, чрез умишлено повреден TCP/IP handshake процес.
Проблемът е много сериозен, защото засяга на практика всяко устройство, свързано към TCP/IP мрежа, включително телефони, принтери, рутери, сървъри и т.н. И докато при сървърите и потребителските компютри закърпването ще е относително тривиално, то нещата не стоят така при огромната част от устройствата, за които написването и прилагането на кръпка ще е изключително сложно или направо невъзможно ( помислете си кога за последно сменяхте фърмуера на мрежовия офисен принтер ? А на домашния си рутер ?). Почти всички мрежови устройства, които използват де-факто стандарта TCP/IP са податливи на проблема и могат да станат инструмент при провеждането на DDoS атаки - потенциала за вредни действия е огромен.

Въпреки, че служителите на Outpost24 не планират голяма пресконференция, на която да обявят какво са открили ( а-ла Дан Камински с DNS дупката ), те не са единствените, които работят в тази насока. Въпрос на време е друг изследовател/хакер да открие същият проблем и подробностите да бъдат публикувани в Интернет. Двамата работят с производители на мрежови устройства в опит да изпреварят събитията и да осигурят защита на максимално количество устройства.

рнетКолко често ви се е случвало да искате да разберете къде се намира човека, с който си говорите през интернет ( поне приблизително ) ? Ето как може да стане това ( в по-долните примери част от информацията е изтрита или променена с примерни данни) :

1. Първата стъпка е да разберете адреса на компютъра, който ползва. Начините за това са няколко, в зависимост от това как си комуникирате. Ако например ползвате ICQ, някои клиенти си казват адреса:

Прочетете цялата статия »

Открих много добре написана статия на български ( заедно с описание как работи DNS ) за DNS отравянето ( т.нар “на Камински”), което нашумя преди около месец. Статията е превод, но добър и изпада в доста технически детайли за същността на атаката. Има само няколко неща, които бих искал да добавя:

“Пробива на Камински” се появиоще в края на Юни, когато група турски хакери успяха да отровят сървъра не на друг, а на самите IANA и ICANN - организации, които лежат в основата на създаването и поддръжането на Интернет. Тази атака се случи седмици преди видният експерт по сигурността Дан Камински да публикува частична информация за уязвимостта и в последствие да я изследва в детайли и да участва в разработката на кръпки за основните софтуерни пакет. Можете да намерите много интересно видео, в което той обяснява уязвимостта на BlackHat конференцията тук.

Уязвимостта засяга ВСИЧКИ DNS сървъри. Ако администрирате сървър на имена, инсталирайте си нова версия - която използва наистина случайни номера на заявките. Това ще затрудни неимоверно много отравянето на сървъра. Случайните номера не решават напълно проблема обаче - руски експерт успя да отрови напълно ъпдейтнат сървър в рамките на 10 часа, използвайки две атакуващи машини, свързани с гигабитова връзка към жертвата. Това е схема, трудно приложима към реални условия, но все пак възможността съществува. За пълно решение на проблема повечето експерти смятат, че Интернет трябва да премине към използването на DNSSEC. Както всяка основна промяна обаче, и тази ще отнеме доста време, усилия и нерви.

Можете да тествате дали сървърите, които вие ползвате са защитени от отравяне. Защитеният сървър трябва да покаже случайно разхвърляни ID-та на графиката. Ако сървърите, които ползвате не са пачнати и нямате управление върху тях, то можете да преминете към ползване на OpenDNS например, като временно или постоянно решение - OpenDNS предлага доста екстри към защитата от отравяне.

И за десерт, може би не се набляга достатъчно на сериозността на този тип атака - при компрометиране на сървър за име може да доведе до пренасочване на неподозиращите жертви към зловреден сайт, като при това няма да сработи нито един от механизмите за защита, вградени в браузъра или чрез допълнителни програми. Тези защити също разчитат на DNS системата да разпознаят потенциално зловредни сайтове и пренасочвания. Напълно е възможно дори да бъде подменен сертификата и “жертвата” да вярва, че отваря сигурна HTTPS сесия към познатия си сървър ( дори сертификатите се проверяват срещу DNS името ). Особено неприятното е, че атаката не е насочена директно към компютрите на жертвите и дори да сте защитени от 3 файъруола, стига един податлив сървър по пътя, който да компрометира всичко. Типичен пример е отравянето на DNS сървърите на China Netcom - един от най-големите доставчици в Китай. Отровените сървъри пренасочват посетителите към зловреден сайт, който се опитва да инсталира купчина експлойти за популярен софтуер. Затова - проверете сървърите, които ползвате и вземете необходимите мерки.

картинката е от http://commons.wikimedia.org/wiki/Image:Binary_tree.png под СС лиценз

Technorati : dns poisoning, name server poisoning, отравяне на сървър, сървър за имена